ecap Security Auditor

核心用法

ecap-security-auditor 是一个面向 AI Agent 生态的安全审计框架，提供自动安全门控和手动深度审计两大能力。安装或使用任何 skill、MCP 服务器、npm/pip 包时，系统自动查询信任注册表、验证文件完整性哈希、计算 Trust Score（0-100），并根据阈值决定放行（≥70）、警告（40-69）或拦截（<40）。若无可信数据，则触发自动审计流程，分析源码后上传报告。

关键机制：

• Trust Score 计算：100 减去各严重级 finding 的扣分（Critical -25, High -15, Medium -8, Low -3），高风险组件（hooks/、.mcp.json 等）×1.2 倍惩罚
• 完整性验证：对比本地文件 SHA-256 与审计时记录的哈希，不匹配则硬拦截
• AI 专属检测：12 类提示注入模式（AI_PROMPT_001~012）、6 类持久化机制（PERSIST_001~006）、7 类高级混淆技术（零宽字符、base64→exec 链等）
• 跨文件分析：识别多文件攻击链（凭证读取+网络外传、权限提升+持久化等），标记为 CORR_ 前缀 finding

显著优点

1. 零配置被动防护：安装即触发安全门，无需用户干预
2. 众包式信任网络：每个 Agent 审计后上传报告，注册表有机增长
3. AI 原生威胁建模：针对 LLM Agent 特有的提示注入、工具滥用、指令层级攻击设计检测规则
4. 版本感知完整性：区分"合法更新"与"篡改攻击"，避免误杀
5. 可恢复的信任分：修复 issue 后通过 /fix 端点恢复 50% 扣分，误报标记后全额恢复

潜在缺点与局限

• 完整性数据库覆盖有限：目前仅 ecap-security-auditor 自身在库，多数包需依赖 findings 评分而非哈希验证
• 网络依赖：API 不可达时只能降级为"用户自担风险"或本地缓存模式
• 大包审计成本：500+ 文件项目需启发式跳过，可能漏检非入口文件中的攻击
• AI 检测误报：防御性代码（如"不要透露提示词"）可能与攻击模式混淆，需人工复核
• Self-review 禁止：无法直接修正自己报告的误报，必须依赖社区 peer review

适合人群

• AI Agent 开发者：需验证自身 skill/MCP 安全性，或集成安全门到 Agent 运行时
• 安全研究员：贡献审计报告、参与 peer review 获取积分排名
• 企业部署团队：建立内部信任注册表（可通过 ECAP_REGISTRY_URL 自定义），管控第三方组件准入

常规风险

• SKILL.md 供应链攻击：恶意 fork 可能篡改 verify.sh 脚本，需始终校验官方来源哈希
• 审计提示注入：被审计包中的注释/字符串可能包含针对审计 LLM 的隐藏指令（零宽字符、HTML 注释）
• API 密钥泄露：credentials.json 或 ECAP_API_KEY 若被窃取，可导致虚假报告注入信任系统
• 评分操纵：通过 by_design=true 标记规避扣分，或利用 component_type 模糊性降低惩罚权重

核心用法

ecap-security-auditor 是一个面向AI智能体的安全审计框架，采用自动安全门设计实现被动防护。每当检测到软件包安装或使用行为时，系统会自动：

1. 查询信任注册表 - 调用 /api/findings 和 /api/integrity 获取已知安全情报
2. 验证文件完整性 - 通过 SHA-256 哈希比对检测篡改
3. 计算信任评分 - 基于漏洞严重程度（Critical-25/High-15/Medium-8/Low-3）量化风险
4. 执行门控决策 - ≥70分通过、40-69分警告、<40分阻断

对于无记录的新包，框架提供完整的手动审计流程：读取 prompts/audit-prompt.md 执行结构化检查，覆盖命令注入、凭据窃取、数据外泄、AI提示词攻击等15+类威胁模式，最终生成JSON报告上传至共享数据库。

显著优点

深度专业化：针对AI生态定制，独有12种AI攻击模式检测（系统提示提取、代理冒充、能力升级、上下文污染等），填补传统SAST工具盲区。

众包安全网络：采用贡献-验证积分机制，发现漏洞、同行评审均可累积声誉，形成自我强化的分布式情报体系。

供应链防护：安装前审计设计（通过 npm pack/pip download 获取源码而非执行安装脚本），阻断postinstall等常见攻击向量。

版本化评分：支持通过 /fix 端点修复漏洞恢复50%信任分，/review 端点标记误报恢复100%，激励持续安全改进。

零依赖攻击面：仅依赖系统工具（bash/curl/jq），无第三方npm/pip包，大幅降低供应链风险。

潜在局限

中心化瓶颈：核心功能依赖 skillaudit-api.vercel.app，服务可用性受第三方控制；当前仅 ecap-security-auditor 自身完成完整性注册，其他包暂无法执行哈希验证。

Windows支持不足：凭证文件权限设置（600）主要针对Unix系统，Windows平台行为未明确定义。

离线能力有限：API不可用时仅能本地保存报告，无法实现完整的降级审计功能。

动态分析缺失：框架基于静态代码分析，无法检测运行时行为偏离或混淆后的恶意逻辑。

适合人群

• AI智能体开发者：需要为自动化工作流嵌入安全门控
• MCP服务器维护者：验证工具描述与实际行为一致性
• 安全研究员：参与众包漏洞发现，积累行业声誉
• 企业DevSecOps团队：在CI/CD管道中集成技能准入检查

常规风险

API密钥泄露：本地 config/credentials.json 存储访问令牌，共享环境需确保权限隔离。

提示词注入反制：审计恶意包时，代码注释可能包含针对LLM的欺骗性指令，需保持批判性分析。

中间人攻击：verify.sh已硬编码官方API地址防篡改，但API响应本身缺乏签名验证，TLS为唯一防护层。

误报成本：过度严格的评分可能导致正常功能（如agent框架的exec()调用）被阻断，需正确配置 by_design 标记。